第3章-第1讲伪随机数发生器与单向散民列函数.ppt

第三章 安全业务及其实现方法 第一部分 伪随机序列发生器 二、伪随机数生成器 2、基于密码算法的随机数产生器 ANSIX9.17伪随机数产生器 3、基于大数因子分解的发生器——BBS产生器 密码强度最强，基于大整数分解困难性 第二部分 单向散列函数 单向散列函数：Hash Function，哈希函数、杂凑函数 将任意长度的消息M映射成一个固定长度散列值h的函数： h=H(M)， 其中，h的长度为m。 用途： 消息认证、数字签名。 散列函数要具有单向性，则必须满足如下特性： （1）有效性 给定M，很容易计算h，便于软硬件实现。 （2）单向性 给定h，根据H(M)=h反推M很难。 （3）弱抗碰撞性（弱攻击性） 给定M，找到另一M’满足H(M)=H(M’)很难。 在某些应用中，单向散列函数还需要满足抗碰撞(Collision)的条件：要找到两个随机的消息M和M’，使H(M)=H(M’)满足很难。（抗强抗攻击性） 还要求： 能用于任何大小的消息； 能产生定长输出； 实现： 单向散列函数是建立在压缩函数之上的： (一) MD5 算 法 MD表示消息摘要(Message Digest),单向散列函数 输入： 给定一任意长度的消息 输出： 长为m的散列值。 压缩函数的输入： 消息分组和前一分组的输出(对第一个函数需初始化向量IV)； 输出： 到该点的所有分组的散列，即分组Mi的散列为 hi=f (Mi, hi?1) 循环： 该散列值和下一轮的消息分组一起作为压缩函数下一轮的输入，最后一分组的散列就是整个消息的散列。 1、算法 MD5对输入的任意长度消息产生128位散列值： 1) 附加填充位 填充消息，使其长度为一个比512的倍数小于64位的数。幻灯片 25 填充方法：在消息后面填充一位1，然后填充所需数量的0。填充位的位数从1～512。 2) 附加长度 将原消息长度的64位表示附加在填充后的消息后面。 当原消息长度大于264时，用消息长度mod 264填充。 （512＝32×16） 3) 初始化MD缓冲区 初始化用于计算消息摘要的128位缓冲区，由四个32位寄存器A、B、C、D表示： A: 01 23 45 67 B: 89 ab cd ef C: fe dc ba 98 D: 76 54 32 10 (按低位字节在前的顺序存放) 4) 按512位的分组处理输入消息 MD5的主循环，包括四轮，每个循环都以当前的正在处理的512比特分组Yq和128比特缓冲值ABCD为输入，然后更新缓冲内容。 四轮的操作类似，每轮16次： 四轮操作的不同之处在于每轮使用的非线性函数不同，分别为(其输入/输出均为32位字)： F(X,Y,Z) = (X^Y) ˇ((～X) ^Z) G(X,Y,Z) = (X^Z)ˇ(Y^ (～Z)) H(X,Y,Z) = X＋Y＋Z I(X,Y,Z) = Y＋(Xˇ (～Z)) 其中，^表示按位与； ˇ表示按位或； ～表示按位反； ＋表示按位异或。 MD5对每512bit按照下列算法进行处理 (1) 把Yi分为16个32比特分组M0、M1、…、M15，其中，M0为最左边的32bit。 (2) ?Let AA =A，BB =B，CC =C，DD =D (3) ?for i =0 to 15 do (第一轮) Temp=B + ((A + F(B,C,D) + M[j] + T[j]) s[j] ; A =D; B =temp; C =B; D = C; end ? for j =16 to 31 do （第二轮） Temp= B + ((A + G(B,C,D) + M[(1+(j-16)*5)%16] + T[j]) s[j] ; A =D; B =temp; C =B; D = C; End ?for j =32 to 47 do （第三轮） Temp= B + ((A + H(B,C,D) + M[(5+(i-32))*3%16] + T[j]) s[j] ; A